"다수안전조치의무 위반해 대규모 개인정보 유출"
송경희 개인정보보호위원회 위원장이 20일 서울 종로구 정부서울청사에서 개인정보보호위원회 제23회 전체회의를 주재하고 있다. 뉴시스
내부 전산시스템 관리를 소홀히 했다가 민감정보가 담긴 소송자료 18만 건을 해킹당한 법무법인 로고스가 5억 원대 과징금을 물게 됐다.
21일 개인정보보호위원회는 전날 개최한 전체회의에서 대규모 소송자료가 유출된 법무법인 로고스에 과징금 5억2,300만 원과 과태료 600만 원을 부과하기로 의결했다고 밝혔다. 개인정보위는 로고스가 내부 시스템에 보관·관리하던 소송자료가 다크웹에 게시된 사실을 확인하고 조사에 착수했다.
개인정보위에 따르면 지난해 7~8월 로고스의 관리자 계정정보를 빼낸 해커가 내부 인트라넷에 접속해 사건관리 리스트 4만3,892건을 내려받아 유출했다. 또 소송자료가 저장된 디렉터리에서는 소장, 판결문, 증거자료, 금융거래내역서, 신분증, 진단서 등 18만5,047건(약1.59TB) 규모의 소송 관련 문서를 추가로 빼냈다. 문서에는 이름, 주소, 연락처, 주민등록번호, 계좌번호, 범죄 이력, 건강정보 등 민감한 개인정보가 대량 포함돼 있었다.
해커는 같은 해 로고스의 메일서버 등을 대상으로 랜섬웨어 악성코드를 심어 서버를 마비시켰고, 로고스는 관련 시스템을 새로 구축할 수밖에 없었다.
개인정보위는 로고스가 내부 시스템에 대한 접속권한을 IP 주소 등으로 제한하지 않는 등 개인정보 유출시도를 탐지·대응하기 위한 접근 통제 조치를 소홀히 했다고 판단했다. 또 주민번호, 계좌번호, 비밀번호 등을 암호화하지 않고 저장했으며, 보관 중인 개인정보의 파기 기준도 마련하지 않은 것으로 조사됐다. 아울러 로고스는 지난해 9월 개인정보 유출 사실을 인지했지만 정당한 사유 없이 1년 이상 경과한 시점에서야 개인정보 유출 통지를 해 2차 피해 우려를 키우기도 했다.
개인정보위 관계자는 "로고스는 소송대리를 위해 민감한 개인정보를 대량으로 보관·관리하는 법률 서비스 제공자이지만, 안전조치의무를 위반해 대규모 개인정보 유출로 이어졌다"며 "매우 중대한 위반으로 판단했다"고 밝혔다.
내부 전산시스템 관리를 소홀히 했다가 민감정보가 담긴 소송자료 18만 건을 해킹당한 법무법인 로고스가 5억 원대 과징금을 물게 됐다.
21일 개인정보보호위원회는 전날 개최한 전체회의에서 대규모 소송자료가 유출된 법무법인 로고스에 과징금 5억2,300만 원과 과태료 600만 원을 부과하기로 의결했다고 밝혔다. 개인정보위는 로고스가 내부 시스템에 보관·관리하던 소송자료가 다크웹에 게시된 사실을 확인하고 조사에 착수했다.
개인정보위에 따르면 지난해 7~8월 로고스의 관리자 계정정보를 빼낸 해커가 내부 인트라넷에 접속해 사건관리 리스트 4만3,892건을 내려받아 유출했다. 또 소송자료가 저장된 디렉터리에서는 소장, 판결문, 증거자료, 금융거래내역서, 신분증, 진단서 등 18만5,047건(약1.59TB) 규모의 소송 관련 문서를 추가로 빼냈다. 문서에는 이름, 주소, 연락처, 주민등록번호, 계좌번호, 범죄 이력, 건강정보 등 민감한 개인정보가 대량 포함돼 있었다.
해커는 같은 해 로고스의 메일서버 등을 대상으로 랜섬웨어 악성코드를 심어 서버를 마비시켰고, 로고스는 관련 시스템을 새로 구축할 수밖에 없었다.
개인정보위는 로고스가 내부 시스템에 대한 접속권한을 IP 주소 등으로 제한하지 않는 등 개인정보 유출시도를 탐지·대응하기 위한 접근 통제 조치를 소홀히 했다고 판단했다. 또 주민번호, 계좌번호, 비밀번호 등을 암호화하지 않고 저장했으며, 보관 중인 개인정보의 파기 기준도 마련하지 않은 것으로 조사됐다. 아울러 로고스는 지난해 9월 개인정보 유출 사실을 인지했지만 정당한 사유 없이 1년 이상 경과한 시점에서야 개인정보 유출 통지를 해 2차 피해 우려를 키우기도 했다.
개인정보위 관계자는 "로고스는 소송대리를 위해 민감한 개인정보를 대량으로 보관·관리하는 법률 서비스 제공자이지만, 안전조치의무를 위반해 대규모 개인정보 유출로 이어졌다"며 "매우 중대한 위반으로 판단했다"고 밝혔다.
댓글목록
등록된 댓글이 없습니다.